2017年10月30日 ヤマハルータ NVR-500にもL2TP/IPSecが追加されたのをTwitterで今日知った。
Sinology NAS DS-216JのVPNサーバ機能を動かした直後に発表されたようだ。
NVR-500のL2TP/IPSecも確認してみよう。
Sinology NAS DS-216JのVPNサーバ機能を動かした直後に発表されたようだ。
NVR-500のL2TP/IPSecも確認してみよう。
ヤマハのNVR-500でPPTPによるVPNサーバを稼働していたが、脆弱性問題で停止していた。最近発売されたNVR-510には、L2TP/IPsecのVPN機能がサポートされているらしい。NVR-500は、2011年10月から快調に稼働している(2017年10月30日 Rev. 11.0.36でL2TP/IPSec機能が追加された-喜ばしい!)。
PR-S300SE(NTTフレッツひかり)は、VPN機能が無い。PR-400以降は、L2TP/IPsecのVPN機能が使えるらしいが、PR-S300SEが元気なので変更してもらえそうに無い。。。
DS-216J NAS(ファイルサーバー)を導入した。このDS-216Jには、VPNサービスが提供されている(PPTP, OpenVPN, L2TP/IPsec)。L2TP/IPsecによるVPNを稼働してみることにした。
DS-216JへのL2TP/IPsec VPNサーバー導入方法に詳しく書かれている。
稼働後のCPU負荷状況もそれほど高く無いようだ。VPN接続後、接続端末に付与されるIPは、「10.2.0.1 - 10.2.0.254」の内の一つとなり、DS-216Jでルーティングされることになる。DS-216JのVPN設定は、解説通りの設定で動作確認できた(ホームネットワークのにWiFi接続し、IP指定でiPhoneのL2TP接続で確認)。
ネットワーク構成とL2TP/IPsecパケット通信の流れを図示する。
インターネト上のiPhoneからL2TPでVPN接続を行うと、ヤマハ提供のネットボランチDDNSで名前解決し、ぷらら(ISP)の接続IP(グローバルIP)へ接続する。ぷららへの接続は、ヤマハNVR-500からPPPoEで接続されている。フレッツひかりルータPR-S300SEは、NTT東地域IP網へ接続されおり、ひかり電話とフレッツTVサービスを受けている。ホームネットワーク内の機器やDS-216JのVPNへは、NVR-500でFirewall遮断されている。
iPhoneからDS-216Jまでどのようなパケットが通過するか確認すると
NVR-500上では、ぷららからPPPoE接続で、pp(ポイント・ツー・ポイント インターフェース)にIPsecパケットが渡されることになり、そのまま、DS-216Jへ転送すれば良いことになる。ppとLAN間には、「NAT Descriptor」「In/Out Filter」が存在し、「1:N」(NAPT接続 - ヤマハでは、masquerade)で接続転送する必要がある。L2TP/IPsecのVPNであるが、NVR-500上では、IPsec通信として設定する。
(1)NAT Descriptor(NAPT)設定
NVR-500の標準設定状態では、pp1(ぷららPPPoE接続)は、「masquerade」が設定されている。
IPSec鍵交換のために、IKE(500/udp)をDS-216Jへstatic natする。
IPsec NAT Traversal が必要な接続のために、 IKE NAT-T(4500/udp)をDS-216Jへstatic natする。
ESP(Encapsulated Security Payload)プロトコルをDS-216Jへstatic natする。
(2)セキュリティ・フィルタの設定
pp1のIN方向フィルタに、
IKE(500/udp)を全てのアドレスからDS-216Jへ許可する。
IKE NAT-T(4500/udp)を全てのアドレスからDS-216Jへ許可する。
ESP(プロトコル 50)を全てのアドレスからDS-216Jへ許可する。
NVR-500のconfigファイルは、
iPhone6S iOS11 L2TP/IPsecで接続(VPNをONにする)
L2TP/IPsec接続される(端末IPは、10.2.0.1が付与される)
構成プロファイルで「On Demand」接続を試みる予定
PR-S300SE(NTTフレッツひかり)は、VPN機能が無い。PR-400以降は、L2TP/IPsecのVPN機能が使えるらしいが、PR-S300SEが元気なので変更してもらえそうに無い。。。
DS-216J NAS(ファイルサーバー)を導入した。このDS-216Jには、VPNサービスが提供されている(PPTP, OpenVPN, L2TP/IPsec)。L2TP/IPsecによるVPNを稼働してみることにした。
DS-216JへのL2TP/IPsec VPNサーバー導入方法に詳しく書かれている。
稼働後のCPU負荷状況もそれほど高く無いようだ。VPN接続後、接続端末に付与されるIPは、「10.2.0.1 - 10.2.0.254」の内の一つとなり、DS-216Jでルーティングされることになる。DS-216JのVPN設定は、解説通りの設定で動作確認できた(ホームネットワークのにWiFi接続し、IP指定でiPhoneのL2TP接続で確認)。
ネットワーク構成とL2TP/IPsecパケット通信の流れを図示する。
インターネト上のiPhoneからL2TPでVPN接続を行うと、ヤマハ提供のネットボランチDDNSで名前解決し、ぷらら(ISP)の接続IP(グローバルIP)へ接続する。ぷららへの接続は、ヤマハNVR-500からPPPoEで接続されている。フレッツひかりルータPR-S300SEは、NTT東地域IP網へ接続されおり、ひかり電話とフレッツTVサービスを受けている。ホームネットワーク内の機器やDS-216JのVPNへは、NVR-500でFirewall遮断されている。
iPhoneからDS-216Jまでどのようなパケットが通過するか確認すると
NVR-500上では、ぷららからPPPoE接続で、pp(ポイント・ツー・ポイント インターフェース)にIPsecパケットが渡されることになり、そのまま、DS-216Jへ転送すれば良いことになる。ppとLAN間には、「NAT Descriptor」「In/Out Filter」が存在し、「1:N」(NAPT接続 - ヤマハでは、masquerade)で接続転送する必要がある。L2TP/IPsecのVPNであるが、NVR-500上では、IPsec通信として設定する。
(1)NAT Descriptor(NAPT)設定
NVR-500の標準設定状態では、pp1(ぷららPPPoE接続)は、「masquerade」が設定されている。
IPSec鍵交換のために、IKE(500/udp)をDS-216Jへstatic natする。
IPsec NAT Traversal が必要な接続のために、 IKE NAT-T(4500/udp)をDS-216Jへstatic natする。
ESP(Encapsulated Security Payload)プロトコルをDS-216Jへstatic natする。
(2)セキュリティ・フィルタの設定
pp1のIN方向フィルタに、
IKE(500/udp)を全てのアドレスからDS-216Jへ許可する。
IKE NAT-T(4500/udp)を全てのアドレスからDS-216Jへ許可する。
ESP(プロトコル 50)を全てのアドレスからDS-216Jへ許可する。
NVR-500のconfigファイルは、
iPhone6S iOS11 L2TP/IPsecで接続(VPNをONにする)
L2TP/IPsec接続される(端末IPは、10.2.0.1が付与される)
構成プロファイルで「On Demand」接続を試みる予定
NVR-500のRev.11.00.20でもtimertickが変化した。Rev.11.00.23にアップデートした結果syslogwatch()のtimeout時間が24時間で99秒となった。
luaのCorrectionTimeを-99として確認中。
luaのCorrectionTimeを-99として確認中。
「NVR500でDynDNSの登録更新をしてみた」の通り、lua関数syslogwatch()のtimeout時間誤差がRev11.00.20で変化したようだ。
24時間で90秒(Rev11.00.19)ほどの誤差が75秒(Rev11.00.20)とtimertickのインターバルが早くなった。
dyndns-update.luaのCorrectionTimeを「CorrectionTime = -75」として補正を確認中。
p.s.
定期更新をscheduleで起動し、定期更新までの間で発生するIPの変化は、syslogwatch()で監視し、syslogwatchのtimeout値がaboutで良いように変更するのが良いかも。。。
そのうち手がけよう。。。
24時間で90秒(Rev11.00.19)ほどの誤差が75秒(Rev11.00.20)とtimertickのインターバルが早くなった。
dyndns-update.luaのCorrectionTimeを「CorrectionTime = -75」として補正を確認中。
p.s.
定期更新をscheduleで起動し、定期更新までの間で発生するIPの変化は、syslogwatch()で監視し、syslogwatchのtimeout値がaboutで良いように変更するのが良いかも。。。
そのうち手がけよう。。。
NVR-500のかんたん設定とリカーシブDNSでRev11.00.19のdns server selectでpp指定するとうまく動作しない状態であったが、Rev11.00.20で確認したら、うまく動作するようになった。
#
# DNS configuration
#
dns service fallback on
dns server pp 1
dns server select 100002 fe80::225:dcff:fe23:1234%2 any flets-east.jp
dns server select 100003 fe80::225:dcff:fe23:1234%2 any iptvf.jp
dns server select 500000 pp 2 any . restrict pp 2
#------
dns server select 500001 pp 1 any . restrict pp 1
dns server select 500002 pp 2 any . restrict pp 2
#------
dns domain gachapin
dns private address spoof on
ip host gs116e.gachapin 192.168.11.249
ip host mx850.gachapin 192.168.11.10
ip host nvr500.gachapin 192.168.11.250
ip host nvr500-lan2.gachapin 192.168.1.2
ip host prs300se.gachapin 192.168.1.1
ip host sx2000u2.gachapin 192.168.11.11
ip host wlan2.gachapin 192.168.11.12
ip host wlan3.gachapin 192.168.11.13
dns private name nvr500.gachapin
#
# DNS configuration
#
dns service fallback on
dns server pp 1
dns server select 100002 fe80::225:dcff:fe23:1234%2 any flets-east.jp
dns server select 100003 fe80::225:dcff:fe23:1234%2 any iptvf.jp
dns server select 500000 pp 2 any . restrict pp 2
#------
dns server select 500001 pp 1 any . restrict pp 1
dns server select 500002 pp 2 any . restrict pp 2
#------
dns domain gachapin
dns private address spoof on
ip host gs116e.gachapin 192.168.11.249
ip host mx850.gachapin 192.168.11.10
ip host nvr500.gachapin 192.168.11.250
ip host nvr500-lan2.gachapin 192.168.1.2
ip host prs300se.gachapin 192.168.1.1
ip host sx2000u2.gachapin 192.168.11.11
ip host wlan2.gachapin 192.168.11.12
ip host wlan3.gachapin 192.168.11.13
dns private name nvr500.gachapin
アクセス
トータル
